安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】更复杂化的“WannaCry”

http://p9.qhimg.com/t01ddd2e4357688c493.png

在WannaCry疯狂蔓延的尾声,上周三(5.17)安全从业者Miroslav Stampar(克罗地亚政府CERT成员、Sqlmap的创造者之一)在他搭建的SMB蜜罐中,发现新的蠕虫正在通过SMB传播。不是WannaCry,是一种利用7种NSA工具新的蠕虫。


EternalRocks的特点


1、EternalRocks利用7种NSA工具

Stampar研究员把这款新的蠕虫命名为EternalRocks,因为在新的蠕虫程序中发现一个样本,这个样本利用六种以SMB为中心的NSA工具来感染网络上暴露SMB端口的计算机,工具包括ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, and ETERNALSYNERGY等用来攻击计算机的SMB漏洞;SMBTOUCH和ARCHITOUCH 用于SMB漏洞扫描的两个NSA工具。一旦蠕虫攻击成功了一台计算机,然后便可利用宁外一个NSA工具(DOUBLEPULSAR)感染其他易受攻击的计算机。

http://p7.qhimg.com/t019749903469c1df47.png

WannaCry勒索软件的疯狂传播目前已经攻击勒索240,000多台计算机,WannaCry也是使用的SMB漏洞来攻击和感染新计算机。WannaCry勒索软件和EternalRocks之间存在不同之处,WannaCry只使用ETERNALBLUE和DOUBLEPULSAR这两种NSA工具来感染新机器,EternalRocks却包含7种NSA工具。

2、EternalRocks更复杂,但危险更小 

Stampar研究员披露:作为一个蠕虫,EternalRocks的危险性远不如WannaCry,因为它目前没有武器化任何恶意软件。但是这并不意味着EternalRocks就很简单,结果恰恰相反。

EternalRocks比WannaCry的SMB蠕虫组件更为复杂。EternalRocks使用两阶段的安装过程,并且延迟第二阶段,即存在一个休眠期。

在第一阶段,EternalRocks在感染的主机上获得权限,然后下载Tor客户端,并将其指向一个暗网中一个. Onion的域名C&C服务器。

只有经过休眠期(目前为24小时),C&C服务器才会做出回应。第二阶段的长时间推迟可能会绕过沙盒安全检测,或者是安全研究者对蠕虫的分析,所以推迟24小时C&C服务器才做出响应是非常有必要的。

3、无开关域名

此外,EternalRocks使用与WannaCry的SMB蠕虫相同的名称的文件,这是为了引导安全研究人员将其错误分类,达到扰乱逆向分析方向。

但与WannaCry不同的是,EternalRocks并没有使用“开关域名”,这个“开关域名”在 WannaCry传播中起着至关重要的作用,以至于某安全研究员把此域名注册后,WannaCry暂时停止传播。

在两个安装过程之间的休眠期到期后,C&C服务器开始响应。EternalRocks开始进入第二阶段的安装过程,在第一阶段已感染主机上下载一个以shadowbrokers.zip命名的恶意软件。shadowbrokers.zip这个文件目前不用过多介绍,安全从业者们也知道是做什么用的。接下来,EternalRocks便开始IP快速扫描并尝试连接感染。

http://p4.qhimg.com/t0101407ef898ea9225.png


利用EternalRocks进行深入攻击


由于EternalRocks利用的NSA工具多且无“开关域名”,同时两个安装过程之间存在一个休眠期。如果EternalRocks拥有者用一些勒索软件、木马、RAT或者其他的来武器化这个蠕虫,那么EternalRocks可能会对那些暴露在公网上存在SMB漏洞的计算机构成严重威胁。

目前来看,这个蠕虫还在测试中,其作者正在测试蠕虫未来可能具有威胁。当然这并不意味着EternalRocks是无害的,EternalRocks的拥有者可以通过C&C服务器对已感染的计算机发出指令来控制,同时可以利用此隐藏的通信通道将新的恶意软件发送到之前已被EternalRocks感染的计算机。

宁外,NSA工具中的具有后门功能的DOUBLEPULSAR也可以在已感染EternalRocks的计算机上运行,不幸的是EternalRocks的拥有者并没有对已感染EternalRocks的计算机上的DOUBLEPULSAR采取任何使用保护措施,DOUBLEPULSAR目前都是默认配置。也就是说其他攻击者也可以使用已感染EternalRocks的计算机中的后门,同时可以通个这个后门安装新的恶意软件到计算机中。更多详细介绍可以去Stampar研究员的github 上查看https://github.com/stamparm/EternalRocks/http://p8.qhimg.com/t0155aa554dac89b6e4.png


免费的SMB


目前,已经有很多人在网络上扫描使用老版本系统的或者没有为系统打补丁的计算机。管理员们也已经高度关注此事,并对存在漏洞的机器打补丁或者是禁用旧版SMBv1 协议,这样一来能被EternalRocks感染的机器数量正在慢慢减少。  

Stampar研究员说:当然是管理员们越快为系统打上新补丁越好,但是如果EternalRocks在管理员打补丁之前就已经感染此计算机,那么EternalRocks的拥有者便可随时发动的进一步攻击。


原文链接:https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/

未经允许不得转载:安全路透社 » 【技术分享】更复杂化的“WannaCry”

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册